web-dev-qa-db-ja.com

howsmysslのtls_version "TLS 1.2"がChrome= Windows 10では「大丈夫」と評価しているが、Windows 7上のIE11では「悪い」と評価しているのはなぜですか?

howsmyssl に基づいてAPIエンドポイントを実装して、クライアントのTLSバージョンを確認し、テストに合格したかどうかをクライアントに通知しています。ただし、複数のクライアントから、サイトでのテストに失敗したものの、同じことについて Salesforceのテスト に合格したことが報告されています。

Howsmysslのtls_version "TLS 1.2"がChrome= Windows 10では「大丈夫」と評価しているのに、Windows 7上のIE11で「悪い」と評価するのはなぜですか?IE11が「insecure_cipher_suites」をサポートしているだけなのですか?参照用のJSON応答は次のとおりです。

Windows 10上のChrome

{ "given_cipher_suites": [ "TLS_GREASE_IS_THE_Word_0A", "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256", "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA", "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA", "TLS_RSA_WITH_AES_128_GCM_SHA256", "TLS_RSA_WITH_AES_256_GCM_SHA384", "TLS_RSA_WITH_AES_128_CBC_SHA", "TLS_RSA_WITH_AES_256_CBC_SHA", "TLS_RSA_WITH_3DES_EDE_CBC_SHA" ], "ephemeral_keys_supported": true, "session_ticket_supported": true, "tls_compression_supported": false, "unknown_cipher_suite_supported": false, "beast_vuln": false, "able_to_detect_n_minus_one_splitting": false, "insecure_cipher_suites": {}, "tls_version": "TLS 1.2", "rating": "Probably Okay" }

Windows 7のIE11

{ "given_cipher_suites": [ "TLS_RSA_WITH_AES_128_CBC_SHA256", "TLS_RSA_WITH_AES_128_CBC_SHA", "TLS_RSA_WITH_AES_256_CBC_SHA256", "TLS_RSA_WITH_AES_256_CBC_SHA", "TLS_RSA_WITH_RC4_128_SHA", "TLS_RSA_WITH_3DES_EDE_CBC_SHA", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA", "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA", "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA", "TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA", "TLS_DHE_DSS_WITH_AES_128_CBC_SHA256", "TLS_DHE_DSS_WITH_AES_128_CBC_SHA", "TLS_DHE_DSS_WITH_AES_256_CBC_SHA256", "TLS_DHE_DSS_WITH_AES_256_CBC_SHA", "TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA", "TLS_RSA_WITH_RC4_128_MD5" ], "ephemeral_keys_supported": true, "session_ticket_supported": false, "tls_compression_supported": false, "unknown_cipher_suite_supported": false, "beast_vuln": false, "able_to_detect_n_minus_one_splitting": false, "insecure_cipher_suites": { "TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA": ["uses 3DES which is vulnerable to the Sweet32 attack but was not configured as a fallback in the ciphersuite order"], "TLS_RSA_WITH_3DES_EDE_CBC_SHA": ["uses 3DES which is vulnerable to the Sweet32 attack but was not configured as a fallback in the ciphersuite order"], "TLS_RSA_WITH_RC4_128_MD5": ["uses RC4 which has insecure biases in its output"], "TLS_RSA_WITH_RC4_128_SHA": ["uses RC4 which has insecure biases in its output"] }, "tls_version": "TLS 1.2", "rating": "Bad" }

1
bw-patrick

まあ、あなたが投稿したエラーメッセージから、あなたのIE11は本当に古くて壊れた暗号を使用する用意がありますが、Chrome=は使用しません。 1つは安全でない/脆弱であると見なされます。

"insecure_cipher_suites": {
    "TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA": ["uses 3DES which is vulnerable to the Sweet32 attack but was not configured as a fallback in the ciphersuite order"],
    "TLS_RSA_WITH_3DES_EDE_CBC_SHA": ["uses 3DES which is vulnerable to the Sweet32 attack but was not configured as a fallback in the ciphersuite order"],
    "TLS_RSA_WITH_RC4_128_MD5": ["uses RC4 which has insecure biases in its output"],
    "TLS_RSA_WITH_RC4_128_SHA": ["uses RC4 which has insecure biases in its output"]

人間の目で暗号スイートのリストをスキャンすると、Chromeリストは「おそらく大丈夫」であり、IEリストは「悪い」であることに同意します。エラーメッセージに記載されているのとまったく同じ理由で。これらは古くて安全ではないので、ブラウザはサーバーにそれらを提案すべきではありません。サーバーが新しい良いものをサポートしていない場合、ブラウザはブラウザの表示を拒否する必要があります南京錠。


TLS 1.2はプロトコルのバージョン(メッセージタイプ)であり、暗号とはほとんど関係がないことに注意してください。 TLS 1.2を使用したいのは、1.1にはない優れた機能へのアクセスを提供するためですが、1.2は下位互換性の理由から古い悪い機能もサポートしています。

4
Mike Ounsworth

IE11が「insecure_cipher_suites」をサポートしているというだけのことですか?

サイトから引用するには documentation

安全でない暗号スイート
...
安全でない暗号スイートをサポートしているクライアントはすべて不正とマークされます。

3
Steffen Ullrich